問題タブ [integrated-security]

ドメインコンピューターと非ドメインコンピューターの両方で使用されるイントラネットMVC3アプリケーションを開発しています。
誰もがドメインアカウントを持っているので、ドメイン以外のコンピューターがWebサイトを開くときはいつでも、Windowsクレデンシャルプロンプト入力ボックスが表示されることが期待されます。

私が正しく理解していれば、同じドメインに属していない限り、WindowsのクレデンシャルをWebサイトに渡さないため、これは標準のブラウザの動作になります。
ただし、問題は、ローカルホストでデバッグするときは常にサーバーと同じドメインにいることです（明らかにサーバーであるため）。これにより、ドメインアカウントではなく、ワークグループWindowsアカウントで「ログイン」することになります。

私が探しているのは、プロンプトボックスをトリガーして、ワークグループアカウントで無駄なアクセスを取得するのではなく、ドメインアカウントを使用してログインできるようにする方法です。

コンテクスト

Oracle11gデータベースインスタンスとSQLServer2012インスタンスが同じドメイン内の2つの異なるサーバーにインストールされています。Oracleデータベースは、Integrated Securityとの接続（つまり、Active Directory認証）を受け入れるように構成されています。SQL Serverには、ReportingServices機能がインストールおよび構成されています。Reporting Servicesは、MicrosoftのOracle.NETデータプロバイダーを使用してOracleデータベースに接続します。

問題

Visual Studioでデータベースへのデータ接続を作成する場合、統合セキュリティを使用してOracleデータベースに接続するのに問題はありません。この接続文字列を使用して接続を構成しました。

しかし、SSRS Webサイト、レポートビルダー、またはBIDSからReporting Servicesでデータソースを作成しようとすると、ログインエラーが発生します。

まったく同じ接続文字列をコピーしようとしましたが、結果は常に同じです。ReportingServicesがIntegrated Security=True不明な理由でオプションを無視しているようです。

ノート

同じ問題がSQLServer2008R2でも発生します。

OracleのOracle.NETデータプロバイダーは、ReportingServicesでは使用できません。

私は、SQL Server のセキュリティ関連の問題に頭を悩ませようと懸命に探してきました。SQL Server 2008 を対象とする .NET アプリケーションを開発しており、FileStream を使用したいと考えています。

統合セキュリティを使用している場合、SQL Server は Win32 API を介した FileStream のみを許可することがわかりました。問題は、アプリケーションの約 80% が完成していることですが、それは完全に SQL 認証に基づいています。そのため、アプリケーションで INSERT のストレート フォームを実行しており、すべての CRUD 操作にストアド プロシージャを使用していません。

これは、SQL のユーザー名とパスワードを暗号化された形式で保存できるため、比較的安全です。パスワードが平文で転送されることは知っていますが、それを受け入れるつもりです。

エンド ユーザーが Crystal Reports などのツールを介してデータベースに接続できるようにしたいと考えています。そのために、SELECT 権限のみが付与された追加の SQL ログインを用意しています。

ここで、統合セキュリティに変更する場合、(AD グループなどを介して) 個々のユーザーに、アプリケーションが実行できることを実行する権限を付与する必要があります。そうしないと、アプリケーションはその作業を行うことができなくなります。ただし、エンドユーザーは、DB に直接接続するときにもこれらの権利を持ちます。

すべての CRUD 操作にストアド プロシージャを使用し、AD グループにのみ EXEC 権限を付与する必要があると言っている人を見かけますが、どうすればよいでしょうか? ユーザーが直接接続するとき、またはアプリケーションを介して接続するときに、ユーザーがどのように異なる権限を持つのかわかりません...これについて誰か教えてもらえますか。

ボーナス ポイントに関する追加の質問: 私が理解している限り、統合セキュリティはワークグループでは機能しません。では、ワークグループで FileStream を動作させるにはどうすればよいでしょうか。それとも、これは不可能と見なされますか?

匿名アクセスが無効で統合 Windows 認証が有効になっている IIS (6) でホストされている MVC 3 アプリケーションでアクセスの問題が発生しているようです。
ルート (http://devserver/) に移動すると、アプリケーションは正常に動作します。サブページ (http://devserver/wtf) に移動しようとしたり、サブページへのリンクをクリックしようとすると、ログオンを求められます。資格情報を 3 回入力すると、401.2 エラーが返されます。ユーザーが認証されていない場合、アプリケーションはログオン画面にリダイレクトするように設定されています。このコードは、すべてのコントローラーの派生元である基本コントローラーの OnActionExecuting にあります。サブページに移動するとき、このメソッドはヒットしません。なぜこれが起こっているのでしょうか？

私が試したと思う： http://support.microsoft.com/kb/871179 http://stackoverflow.com/questions/34194/asp-net-mvc-on-iis6

IIS のほぼすべてのセキュリティ設定。

ASP.netアプリケーションで統合セキュリティを使用しています。IISとSQLServerはどちらも、Windows Server2008R2を実行している同じサーバーマシンでホストされています。

ユーザーがネットワークを介してアプリケーションにアクセスし、ユーザーがログインすることを許可することはできますが、直接またはSQL Server Management Studioを介してデータベースにアクセスすることはできませんか？

アプリケーションがクライアントの構内にあるクライアントのサーバーにデプロイされるため、データベースアクセスを保護しようとしています。

これが私が現在使用している接続文字列です

これらは、現在使用している2つの接続文字列です。1つはASP.net認証用で、もう1つはアプリケーションで使用されています。これらの両方の文字列は同じであり、同じデータベースのものです。

助言がありますか？

現在、Windows Server 2008 で Java Spring サービスを実行している Tomcat 7 を使用しています。Tomcat は、SQL Server データベースにアクセスできる Windows アカウントで実行されています。Microsoft SQL JDBC 4 (sqljdbc4.jar) と統合セキュリティを使用して、SQL Server データベースにアクセスしています (常に Tomcat アカウントを使用)。

Linuxサーバー（Ubuntuサーバー）で同じプロセスをセットアップしようとしています。sqljdbc4.jar では、純粋な Java Kerberos を介して Windows Active Directy を使用した SSO が可能であることを知っています。ただし、私が見つけることができる小さなドキュメントは、アクセスのためにクライアントを認証することを示しています。

当社のサービスは、当社のアクティブ ディレクトリ (Web サイトおよび iOS アプリ) の一部ではないモバイル クライアントで使用されます。クライアントの代わりに、純粋な Java Kerberos を sqljdbc4 と tomcat ユーザー (Active Directory を通じて認証された Linux ユーザー) で使用することは可能ですか?

どんな助けでも大歓迎です。

Npgsql を使用していますが、パブリック ログインに自動的にフォールバックする統合セキュリティを使用して PostgreSQL サーバーに接続する方法があるかどうか疑問に思っていました。または、私が達成しようとしていることを行う別の方法があるかもしれません。

Windows 認証を使用する ASP.NET Web サイト (IIS7.5) があり、SSPI 経由のアクセスを許可するように PostgreSQL を構成しました。データベースに正しい名前のロールがある限り、これは正常に機能します。この Web サイトは、イントラネット上のすべてのユーザーが表示できますが、一部のユーザーには、他のユーザーにはできないはずのいくつかの特別な機能 (または追加のデータを表示できる) があります。

現在、私は次のようなものを使用しています：

これは正常に機能しますが、「www-read」ロールにフォールバックするたびに、認証エラーがあったことを示す重要なログ エントリが追加されます。これを回避できる唯一の方法は、常に www-read 経由で接続し、適切な統合セキュリティ ロールが存在するかどうかを問い合わせてから再接続することですが、上記よりもさらに面倒に思えます。

Eclipseでjdbc接続を開くと、正常に機能します。

しかし、実行可能jarファイルを作成して実行すると、Integrated Security=trueに問題が発生します。

または統合されたセキュリティだけではないかもしれません...

私は、SQL について非常に多くのことを学んでいます。Visual Studio を使用すると、基本的な作業を非常に簡単に行うことができますが、サイトを公開したいと考えており、SQL セキュリティに関してアドバイスが必要です。

これは私の接続文字列です:

ご覧のとおり、これは統合セキュリティを使用せず、web.config ファイルでユーザー名とパスワードを公開します。これがおそらく最善の解決策ではないことは理解していますが、何が最善なのか途方に暮れています。

3 つの質問があります。

1. これは、実動 Web サイトで許容される慣行ですか?
2. 統合セキュリティを使用するように接続文字列を変換するにはどうすればよいですか?
3. 統合セキュリティが確実に機能するようにするには、サーバーで他に何をする必要がありますか?

前もって感謝します。